Tính năng AutoFill của trình duyệt có thể tiết lộ các thông tin cá nhân người dùng cho Hackers

By | 10:49 am | 13/01/2017

browser-autofill-hacking

Phần lớn người dùng rất khó chịu với việc phải điền thông tin vào các web form khi sử dụng, đặc biệt là khi đang sử dụng các thiết bị di động. Để giải quyết vấn đề này, Google Chrome và một số trình duyệt khác đã hỗ trợ tính năng “Autofill” tự động điền thông tin vào các trường của web form dựa trên các thông tin mà người dùng đã điền vào các trường tương tự trước đó.

Viljami Kuosmanen – một hacker mũ trắng – đã công bố một bản demo trên GitHub cho thấy cách một kẻ tấn công có thể sử dụng tính năng tự động “Autofill” để chống lại người dùng và lừa người dùng tiết lộ thông tin cá nhân của người dùng.

Demo bao gồm một web form trực tuyến đơn giản chỉ với hai lĩnh vực: Name và Email. Tuy nhiên có các trường khác được ẩn với người dùng, bao gồm số điện thoại, tổ chức, địa chỉ, mã bưu điện và quốc gia. Khi người dùng “Submit”, họ đã vô tình gửi đi các thông tin cá nhân đến tin tặc hoặc bên thứ ba độc hại. Kuosmanen có thể làm cho cuộc tấn công này thậm chí còn tồi tệ hơn nếu gửi đi bao gồm cả địa chỉ của người dùng, số thẻ tín dụng, ngày hết hạn, và CVV,…

Tấn công có thể thực hiện trên bao gồm cả Google Chrome, Apple Safari, Opera, và LastPass. Tuy nhiên người sử dụng trình duyệt Firefox của Mozilla không cần phải lo lắng về cuộc tấn công này.

Cách đơn giản nhất để tự bảo vệ mình chống lại các cuộc tấn công lừa đảo như vậy là vô hiệu hóa tính năng Autofill:

  • Để tắt tính năng này trong Chrome: Vào Settings → Advanced Settings, Passwords and Forms bỏ chọn Enable Autofill.
  • Trong Opera, bỏ chọn trong Settings → Autofill.
  • Trong Safari, vào Preferences và kích bỏ chọn AutoFill.